Я читаю здесь Интересно, должен ли сервер когда-нибудь просто отозвать токен обновления через определенный промежуток времени и просто заставить пользователя снова войти в систему? Я не могу вспомнить, когда в последний раз мне приходилось вводить учетные данные для входа в Gmail.
Что делают банки (или любой сайт, на котором хранятся конфиденциальные данные), если данный пользователь обновляетсяих токен на 200 дней? Должны ли они позволить пользователю продолжать использовать сайт? Я понимаю, что это связано с взаимодействием с пользователем, поэтому это не то, что легко автоматизировать.